企业oa办公系统设计方案.docx

OA 办公系统网络平安设计方案 企业oa 办公系统设计方案 天互数据 1 OA 办公系统网络平安设计方案 项目背景 随着业务应用系统的不断扩展，特殊是基于 internet 的应用日益丰富，信息平安形式趋于简单化，威逼形式更为丰富，平安事故带来的危害及影响也越来越大。目前公司已有的防护体系在防护结构和防护手段方面需要针对新状况进行重新评估和设计，以满足公司内网办公系统网络平安设计方案信息化进展的要求，为公司内网办公系统网络平安设计方案的业务应用供应全面的平安保障。 需求分析 通过对公司内网办公系统网络平安设计方案网络系统进行实地检查和分析后，目前存在的问题如下： Server1 托管着辖区内全部单位的门户网站，Server2 是训练资源服务器，两台服务器都需要是对外进行数据交互，从现有网络拓扑可以看出，接受目前这种部署方式使防火墙失去作用，整个网络拓扑存在很大平安隐患，需要对网络拓扑进行优化； 网络的出口接受一台神州数码 DCFW1800S-L 防火墙，该设备无 VPN 功能，无法供应远程移动办公功能，且该设备老化严峻，在性能及牢靠性等方面均无法满足公司现有网络应用，急需要更换； 没有上网信息审计措施，不能满足国家对于政府机关接入互联网的要求； 由于黑客、木马、等网络入侵越来越隐蔽，破坏性越来越大，防火墙担当着地址转换（NAT）、网络访问把握和网络边界隔离防护等工作，再加上对网络入侵行为的鉴别需要消耗大量的性能，这将会使防火墙成为网络瓶颈。同时防火墙对了来自内网的攻击无能无力，因此需要部署专业的网络入侵检测系统； 网络核心接受一台 Dlink DGS1024D 交换机，该交换机为非智能型交换机，不支持 Vlan 划分、端口镜像及网络管理功能，随着网络应用的不断扩展，该型交换机已经不能满足实际使用的需要； 2 OA 办公系统网络平安设计方案 网内没有部署专业的网络版杀毒软件，无法做到统一杀毒、统一升级、统一管理，简洁形成管理死角，一旦发生毒害，无法精确定位及查杀。 现有网络拓扑如下： 网络平安改造方案 建设原则 网络平安建设是一个系统工程，公司内网办公系统网络平安设计方案平安体系建设应依据“统一规划、统筹支配、统一标准、相互配套”的原则进行，接受先进的“平台化”建设思想，避开重复投入、重复建设，充分考虑整体和局部的效益，坚持近期目标与远期目标相结合。 在进行网络系统平安方案设计、规划时，应遵循以下原则： 完整性：网络平安建设必需保证整个防备体系的完整性。一个较好的平安措施往往是多种方法适当综合的应用结果。 经济性：依据爱护对象的价值、威逼以及存在的风险，制定爱护策略，使得系统的 平安和投资达到均衡，避开低价值对象接受高成本的爱护，反之亦然。 动态性：随着网络脆弱性的转变和威逼攻击技术的进展，使网络平安变成了一个动态的过程，静止不变的产品根本无法适应网络平安的需要。所选用的平安产品必需 3 OA 办公系统网络平安设计方案 准时地、不断地改进和完善，准时进行技术和设备的升级换代，只有这样才能保证系统的平安性。 专业性：攻击技术和防备技术是网络平安的一对冲突体，两种技术从不同角度不断 地对系统的平安提出了挑战，只有把握了这两种技术才能对系统的平安有全面的生疏，才能供应有效的平安技术、产品、服务，这就需要从事平安的公司拥有专业技术人才，并能长期的进行技术争辩、积累，从而全面、系统、深化的为用户供应服务。 可管理性：平安管理定义为在一个包含的服务、应用程序和网络架构的IT 环境中， 供应高牢靠性、私有性和平安。集中的平安管理包括了技术实现和管理两方面。 标准性：遵守国家标准、行业标准以及国际相关的平安标准，是构建系统平安的保障和基础。 可控性：系统平安的任何一个环节都应有很好的可控性，他可以有效的保证系统安 全在可以把握的范围，而这一点也是平安的核心。这就要求对平安产品本身的平安性和产品的可客户化。 易用性：平安措施要由人来完成，假如措施过于简单，对人的要求过高，一般人员 难以胜任，有可能降低系统的平安性。 对于公司内网办公系统网络平安设计方案网络平安体系的建立，我们建议实行以上的原则，先对整个网络进行整体的平安规划，然后依据实际状况建立一个从防护--检测 --响应的平安防护体系，提高整个网络的平安性，保证应用系统的平安性。 部署方案 综合考虑公司内网办公系统网络平安设计方案网络应用现状及需求，结合我公司的项目阅历，本次方案部署如下： 4 OA 办公系统网络平安设计方案 优化网络拓扑，将网络划分为外网区、DMZ 区、服务器区和内网区，外网区就是互联网；DMZ 区为公共服务区，Server1 和 Server2 放入该区；服务器区存放内网服务器；内网区是内网 PC。各区之间的数据交互由 ACL（访问把握列表）进行把握； 将神州数